mybatis中可以直接使用>或<;但是不能直接使用>=或<=;
第一种写法(1):
原符号 < <= > >= & ' "
替换符号 < <= > >= & ' "
例如:sql如下:
create_date_time >= #{startTime} and create_date_time <= #{endTime}
第二种写法(2):
大于等于
<![CDATA[ >= ]]>
小于等于
<![CDATA[ <= ]]>
例如:sql如下:
create_date_time <![CDATA[ >= ]]> #{startTime} and create_date_time <![CDATA[ <= ]]> #{endTime}
${}和#{}的区别:
1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id}如果传的值是12将被解析为order by "12"
2、$将传入的数据直接显示生成在sql中。如:order by ${user_id}如果传的值是12将被解析为order by 12;如果传的值是id,将被解析为order by id。
所以${}有sql注入风险。
3、$方式一般用于传入数据库对象,例如传入表名。
4、#{} 的参数替换是发生在 DBMS(数据库管理系统) 中,而 ${} 则发生在动态解析过程中。
即:select * from user where name = #{name};
#{}在预编译时参数部分用一个占位符 ? 代替, 例子:select * from user where name = ?
${}在动态解析时直接简单替换参数,例子:select * from user where name = xxx
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
另外注意:
一般对应mybatis中的Integer、Long、BigDecimal等数字类型,在使用test时,我们需要传0值,这时就不要使用auditStatus != ''了;而对于字符串则可以使用!=''来排除空字符串
#当auditStatus=0时,是进不来if语句的;去掉auditStatus !=''则可以进去,原因是因为mybatis会认为Integer类型的auditStatus=0是的空字符串
<if test="auditStatus != null auditStatus != ''">
and risk_case_base.status = #{auditStatus}
</if>